個人資料保護法
第一章   總則
第一條
  為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個
  人資料之合理利用，特制定本法。

第二條
  本法用詞，定義如下：
  一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、
      護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、
      基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會
      活動及其他得以直接或間接方式識別該個人之資料。
  二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方
      式檢索、整理之個人資料之集合。
  三、蒐集：指以任何方式取得個人資料。
  四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存
      、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
  五、利用：指將蒐集之個人資料為處理以外之使用。
  六、國際傳輸：指將個人資料作跨國（境）之處理或利用。
  七、公務機關：指依法行使公權力之中央或地方機關或行政法人。
  八、非公務機關：指前款以外之自然人、法人或其他團體。
  九、當事人：指個人資料之本人。

第三條
  當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特
  約限制之：
  一、查詢或請求閱覽。
  二、請求製給複製本。
  三、請求補充或更正。
  四、請求停止蒐集、處理或利用。
  五、請求刪除。

第四條
  受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適
  用範圍內，視同委託機關。

第五條
  個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方
  法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合
  理之關聯。

第六條
  有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集
  、處理或利用。但有下列情形之一者，不在此限：
  一、法律明文規定。
  二、公務機關執行法定職務或非公務機關履行法定義務所必要，且有適
      當安全維護措施。
  三、當事人自行公開或其他已合法公開之個人資料。
  四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統
      計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個
      人資料。
  前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項
  之辦法，由中央目的事業主管機關會同法務部定之。

第七條
  第十五條第二款及第十九條第五款所稱書面同意，指當事人經蒐集者告
  知本法所定應告知事項後，所為允許之書面意思表示。
  第十六條第七款、第二十條第一項第六款所稱書面同意，指當事人經蒐
  集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之
  影響後，單獨所為之書面意思表示。

第八條
  公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資
  料時，應明確告知當事人下列事項：
  一、公務機關或非公務機關名稱。
  二、蒐集之目的。
  三、個人資料之類別。
  四、個人資料利用之期間、地區、對象及方式。
  五、當事人依第三條規定得行使之權利及方式。
  六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。
  有下列情形之一者，得免為前項之告知：
  一、依法律規定得免告知。
  二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義
      務所必要。
  三、告知將妨害公務機關執行法定職務。
  四、告知將妨害第三人之重大利益。
  五、當事人明知應告知之內容。

第九條
  公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供
  之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第
  一項第一款至第五款所列事項。
  有下列情形之一者，得免為前項之告知：
  一、有前條第二項所列各款情形之一。
  二、當事人自行公開或其他已合法公開之個人資料。
  三、不能向當事人或其法定代理人為告知。
  四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提
      供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。
  五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
  第一項之告知，得於首次對當事人為利用時併同為之。

第十條
  公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆
  查詢、提供閱覽或製給複製本。但有下列情形之一者，不在此限：
  一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利
      益。
  二、妨害公務機關執行法定職務。
  三、妨害該蒐集機關或第三人之重大利益。

第十一條
  公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之
  請求更正或補充之。
  個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。
  但因執行職務或業務所必須並註明其爭議或經當事人書面同意者，不在
  此限。
  個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求
  ，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經
  當事人書面同意者，不在此限。
  違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求
  ，刪除、停止蒐集、處理或利用該個人資料。
  因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料
  ，應於更正或補充後，通知曾提供利用之對象。

第十二條
  公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改
  或其他侵害者，應查明後以適當方式通知當事人。

第十三條
  公務機關或非公務機關受理當事人依第十條規定之請求，應於十五日內
  ，為准駁之決定；必要時，得予延長，延長之期間不得逾十五日，並應
  將其原因以書面通知請求人。
  公務機關或非公務機關受理當事人依第十一條規定之請求，應於三十日
  內，為准駁之決定；必要時，得予延長，延長之期間不得逾三十日，並
  應將其原因以書面通知請求人。

第十四條
  查詢或請求閱覽個人資料或製給複製本者，公務機關或非公務機關得酌
  收必要成本費用。

第二章   公務機關對個人資料之蒐集、處理及利用
第十五條
  公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應
  有特定目的，並符合下列情形之一者：
  一、執行法定職務必要範圍內。
  二、經當事人書面同意。
  三、對當事人權益無侵害。

第十六條
  公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行
  法定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之
  一者，得為特定目的外之利用：
  一、法律明文規定。
  二、為維護國家安全或增進公共利益。
  三、為免除當事人之生命、身體、自由或財產上之危險。
  四、為防止他人權益之重大危害。
  五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要
      ，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之
      當事人。
  六、有利於當事人權益。
  七、經當事人書面同意。

第十七條
  公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱
  ；其有變更者，亦同：
  一、個人資料檔案名稱。
  二、保有機關名稱及聯絡方式。
  三、個人資料檔案保有之依據及特定目的。
  四、個人資料之類別。

第十八條
  公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個
  人資料被竊取、竄改、毀損、滅失或洩漏。

第三章   非公務機關對個人資料之蒐集、處理及利用
第十九條
  非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，
  應有特定目的，並符合下列情形之一者：
  一、法律明文規定。
  二、與當事人有契約或類似契約之關係。
  三、當事人自行公開或其他已合法公開之個人資料。
  四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經
      過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
  五、經當事人書面同意。
  六、與公共利益有關。
  七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或
      利用，顯有更值得保護之重大利益者，不在此限。
  蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料
  之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該
  個人資料。

第二十條
  非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐
  集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外
  之利用：
  一、法律明文規定。
  二、為增進公共利益。
  三、為免除當事人之生命、身體、自由或財產上之危險。
  四、為防止他人權益之重大危害。
  五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要
      ，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之
      當事人。
  六、經當事人書面同意。
  非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷
  時，應即停止利用其個人資料行銷。
  非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並
  支付所需費用。

第二十一條
  非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業
  主管機關得限制之：
  一、涉及國家重大利益。
  二、國際條約或協定有特別規定。
  三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之
      虞。
  四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

第二十二條
  中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維
  護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認
  有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入
  檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料。
  中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得
  沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或
  複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由
  拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害
  最少之方法強制為之。
  中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率
  同資訊、電信或法律等專業人員共同為之。
  對於第一項及第二項之進入、檢查或處分，非公務機關及其相關人員不
  得規避、妨礙或拒絕。
  參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

第二十三條
  對於前條第二項扣留物或複製物，應加封緘或其他標識，並為適當之處
  置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保
  管。
  扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者
  ，應發還之。但應沒入或為調查他案應留存者，不在此限。

第二十四條
  非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要
  求、強制、扣留或複製行為不服者，得向中央目的事業主管機關或直轄
  市、縣（市）政府聲明異議。
  前項聲明異議，中央目的事業主管機關或直轄市、縣（市）政府認為有
  理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該
  聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。
  對於中央目的事業主管機關或直轄市、縣（市）政府前項決定不服者，
  僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法
  不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起
  行政訴訟。

第二十五條
  非公務機關有違反本法規定之情事者，中央目的事業主管機關或直轄市
  、縣（市）政府除依本法規定裁處罰鍰外，並得為下列處分：
  一、禁止蒐集、處理或利用個人資料。
  二、命令刪除經處理之個人資料檔案。
  三、沒入或命銷燬違法蒐集之個人資料。
  四、公布非公務機關之違法情形，及其姓名或名稱與負責人。
  中央目的事業主管機關或直轄市、縣（市）政府為前項處分時，應於防
  制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少
  之方法為之。

第二十六條
  中央目的事業主管機關或直轄市、縣（市）政府依第二十二條規定檢查
  後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布
  檢查結果。

第二十七條
  非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資
  料被竊取、竄改、毀損、滅失或洩漏。
  中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計
  畫或業務終止後個人資料處理方法。
  前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機
  關定之。

第四章   損害賠償及團體訴訟
第二十八條
  公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵
  害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗
  力所致者，不在此限。
  被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者
  ，並得請求為回復名譽之適當處分。
  依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院
  依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。
  對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損
  害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉
  利益超過新臺幣二億元者，以該所涉利益為限。
  同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不
  受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
  第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾
  或已起訴者，不在此限。

第二十九條
  非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他
  侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不
  在此限。
  依前項規定請求賠償者，適用前條第二項至第六項規定。

第三十條
  損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不
  行使而消滅；自損害發生時起，逾五年者，亦同。

第三十一條
  損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務
  機關適用民法之規定。

第三十二條
  依本章規定提起訴訟之財團法人或公益社團法人，應符合下列要件：
  一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數
      達一百人。
  二、保護個人資料事項於其章程所定目的範圍內。
  三、許可設立三年以上。

第三十三條
  依本法規定對於公務機關提起損害賠償訴訟者，專屬該機關所在地之地
  方法院管轄。對於非公務機關提起者，專屬其主事務所、主營業所或住
  所地之地方法院管轄。
  前項非公務機關為自然人，而其在中華民國現無住所或住所不明者，以
  其在中華民國之居所，視為其住所；無居所或居所不明者，以其在中華
  民國最後之住所，視為其住所；無最後住所者，專屬中央政府所在地之
  地方法院管轄。
  第一項非公務機關為自然人以外之法人或其他團體，而其在中華民國現
  無主事務所、主營業所或主事務所、主營業所不明者，專屬中央政府所
  在地之地方法院管轄。

第三十四條
  對於同一原因事實造成多數當事人權利受侵害之事件，財團法人或公益
  社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者，得
  以自己之名義，提起損害賠償訴訟。當事人得於言詞辯論終結前以書面
  撤回訴訟實施權之授與，並通知法院。
  前項訴訟，法院得依聲請或依職權公告曉示其他因同一原因事實受有損
  害之當事人，得於一定期間內向前項起訴之財團法人或公益社團法人授
  與訴訟實施權，由該財團法人或公益社團法人於第一審言詞辯論終結前
  ，擴張應受判決事項之聲明。
  其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者
  ，亦得於法院公告曉示之一定期間內起訴，由法院併案審理。
  其他因同一原因事實受有損害之當事人，亦得聲請法院為前項之公告。
  前二項公告，應揭示於法院公告處、資訊網路及其他適當處所；法院認
  為必要時，並得命登載於公報或新聞紙，或用其他方法公告之，其費用
  由國庫墊付。
  依第一項規定提起訴訟之財團法人或公益社團法人，其標的價額超過新
  臺幣六十萬元者，超過部分暫免徵裁判費。

第三十五條
  當事人依前條第一項規定撤回訴訟實施權之授與者，該部分訴訟程序當
  然停止，該當事人應即聲明承受訴訟，法院亦得依職權命該當事人承受
  訴訟。
  財團法人或公益社團法人依前條規定起訴後，因部分當事人撤回訴訟實
  施權之授與，致其餘部分不足二十人者，仍得就其餘部分繼續進行訴訟
  。

第三十六條
  各當事人於第三十四條第一項及第二項之損害賠償請求權，其時效應分
  別計算。

第三十七條
  財團法人或公益社團法人就當事人授與訴訟實施權之事件，有為一切訴
  訟行為之權。但當事人得限制其為捨棄、撤回或和解。
  前項當事人中一人所為之限制，其效力不及於其他當事人。
  第一項之限制，應於第三十四條第一項之文書內表明，或以書狀提出於
  法院。

第三十八條
  當事人對於第三十四條訴訟之判決不服者，得於財團法人或公益社團法
  人上訴期間屆滿前，撤回訴訟實施權之授與，依法提起上訴。
  財團法人或公益社團法人於收受判決書正本後，應即將其結果通知當事
  人，並應於七日內將是否提起上訴之意旨以書面通知當事人。

第三十九條
  財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償，扣除訴
  訟必要費用後，分別交付授與訴訟實施權之當事人。
  提起第三十四條第一項訴訟之財團法人或公益社團法人，均不得請求報
  酬。

第四十條
  依本章規定提起訴訟之財團法人或公益社團法人，應委任律師代理訴訟
  。

第五章   罰則
第四十一條
  違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項
  規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處
  分，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣
  二十萬元以下罰金。
  意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元
  以下罰金。

第四十二條
  意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔
  案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而
  足生損害於他人者，處五年以下有期徒刑、拘役或科或併科新臺幣一百
  萬元以下罰金。

第四十三條
  中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者，亦適
  用之。

第四十四條
  公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二
  分之一。

第四十五條
  本章之罪，須告訴乃論。但犯第四十一條第二項之罪者，或對公務機關
  犯第四十二條之罪者，不在此限。

第四十六條
  犯本章之罪，其他法律有較重處罰規定者，從其規定。

第四十七條
  非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣
  （市）政府處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆
  期未改正者，按次處罰之：
  一、違反第六條第一項規定。
  二、違反第十九條規定。
  三、違反第二十條第一項規定。
  四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令
      或處分。

第四十八條
  非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣
  （市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬
  元以下罰鍰：
  一、違反第八條或第九條規定。
  二、違反第十條、第十一條、第十二條或第十三條規定。
  三、違反第二十條第二項或第三項規定。
  四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計
      畫或業務終止後個人資料處理方法。

第四十九條
  非公務機關無正當理由違反第二十二條第四項規定者，由中央目的事業
  主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二十萬元以下罰
  鍰。

第五十條
  非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前
  三條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度
  罰鍰之處罰。

第六章   附則
第五十一條
  有下列情形之一者，不適用本法規定：
  一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資
      料。
  二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料
      結合之影音資料。
  公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐
  集、處理或利用者，亦適用本法。

第五十二條
  第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣（
  市）政府執行之權限，得委任所屬機關、委託其他機關或公益團體辦理
  ；其成員因執行委任或委託事務所知悉之資訊，負保密義務。
  前項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實
  施權，以自己之名義提起損害賠償訴訟。

第五十三條
  本法所定特定目的及個人資料類別，由法務部會同中央目的事業主管機
  關指定之。

第五十四條
  本法修正施行前非由當事人提供之個人資料，依第九條規定應於處理或
  利用前向當事人為告知者，應自本法修正施行之日起一年內完成告知，
  逾期未告知而處理或利用者，以違反第九條規定論處。

第五十五條
  本法施行細則，由法務部定之。

第五十六條
  本法施行日期，由行政院定之。
  現行條文第十九條至第二十二條及第四十三條之刪除，自公布日施行。
  前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於
  指定之日起六個月內辦理登記或許可之期間內者，該指定之事業、團體
  或個人得申請終止辦理，目的事業主管機關於終止辦理時，應退還已繳
  規費。已辦理完成者，亦得申請退費。
  前項退費，應自繳費義務人繳納之日起，至目的事業主管機關終止辦理
  之日止，按退費額，依繳費之日郵政儲金之一年期定期存款利率，按日
  加計利息，一併退還。已辦理完成者，其退費，應自繳費義務人繳納之
  日起，至目的事業主管機關核准申請之日止，亦同。